תיקון 13 בישראל מחייב מינוי ממונה על הגנת הפרטיות — קנסות פרטיות מגיעים למיליוני שקלים.
תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025 — שכתוב הסדרי ההגנה על מידע הסוחף ביותר במדינה מאז 1981. הרשות להגנת הפרטיות מוסמכת מעתה להטיל עיצומים כספיים במיליוני שקלים, לחייב מינוי ממונה על הגנת הפרטיות (DPO), להורות על הפסקת עיבוד נתונים ולפתוח בחקירות פליליות.
01 הכאב
ב-14 באוגוסט 2025 השתנה משטר הפרטיות של החברות הישראליות בן לילה. חברת פינטק מרמת גן עם 80,000 רשומות משתמשים. מרפאה מפתח תקווה עם שתים-עשרה שנות תיקי מטופלים. חברת תוכנה עסקית מתל אביב שעוקבת אחר הרשמות לתקופת ניסיון. תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף באותו היום — שכתוב הכללים הסוחף ביותר בתחום הגנת המידע בישראל מאז 1981 — והוא מקנה לרשות להגנת הפרטיות (PPA, הרגולטור הישראלי לתחום הגנת המידע) את הסמכות להטיל עיצומים כספיים בהיקף של מיליוני שקלים ולדרוש מינוי ממונה על הגנת הפרטיות (DPO) בכל ארגון שפעילות הליבה שלו כרוכה בעיבוד נתונים בהיקף גדול או בניטור שיטתי.1
נטל הציות נופל על הארגונים כתופה מתמשכת: עשר חובות נפרדות הכוללות עדכון שנתי של הגדרות מאגרי המידע, סקירת נהלי אבטחה, מבחני חדירה אחת ל-18 חודשים, סקירות אירועים רבעוניות, רענון טפסי הסכמה, מיפוי זרימות מידע במערכות משאבי אנוש (HR) וביישומי ענן, הדרכת עובדים, הסכמי ספקים והודעה לרשות להגנת הפרטיות על אירועי אבטחה.2 העיצומים המנהליים מגיעים למיליוני שקלים בגין הפרות במידע רגיש או במאגרים גדולים; ובנוסף לכך תביעות אזרחיות של עד 100,000 ש"ח (כ-25,000 אירו) לכל אדם שנפגע.4 החמצה של סקר סיכונים בודד או של מבחן חדירה כשלעצמם עולה 320,000 ש"ח (כ-80,000 אירו) להפרה.3
חברות תחום הבריאות, הפינטק וטכנולוגיית משאבי האנוש זוכות ליחס המחמיר ביותר, מכיוון שהן מחזיקות במידע ביומטרי, פיננסי ומידע על עובדים בהיקף גדול. הרשות מוסמכת גם להורות על הפסקת עיבוד נתונים ולפתוח בחקירות פליליות. כיסא ה-DPO כבר אינו בגדר המלצה.4
02מי פותר את זה כיום
שלושה ספקים ומשרדים שמזכירים בעצמם את תיקון 13 הישראלי (או את חוק הגנת הפרטיות / חובת מינוי קצין הגנת מידע) בעמודי הבית שלהם — המסלול שמעסיק ישראלי בינוני אכן הולך בו כשהיועץ המשפטי שלו מחזיר את השאלה "את מי שוכרים?". כל אחד מהם נבדק חי בתאריך הכתיבה. הרשימה צרה במכוון.
הספקים המופיעים משווקים בעצמם לציבור לנישת תיקון 13 הישראלי / קצין הגנת מידע ישראלי / ציות לחוק הפרטיות הישראלי דרך עמודי הבית שלהם. הכללה אינה המלצה. ספקים ומשרדים סמוכים נשקלו והוצאו כאשר עמוד הבית הציבורי שלהם לא הזכיר במפורש את הנישה בתאריך הכתיבה — OneTrust (onetrust.com) החזיר HTTP 200 אך עמוד הבית שיווק רק ציות גנרי ל־GDPR / DORA / חוק ה־AI של האיחוד האירופי, ללא כל אזכור של החוק הישראלי, ולכן הוצא בהתאם לכלל "הנישה חייבת להופיע בעמוד הבית"; Securiti.ai (securiti.ai) החזיר HTTP 200 אך עמוד הבית מנה רק GDPR / CPRA / LGPD / PIPEDA / PIPL / חוק ה־AI של האיחוד האירופי ולא נקב בשם רגולציה ישראלית כלשהי, ולכן הוצא (ניסיון לכתובת בלוג על תיקון 13 החזיר HTTP 404); DataGuard (dataguard.com) החזיר HTTP 200 אך עמוד הבית עסק ב־GDPR / ISO 27001 / TISAX / NIS2 / חוק ה־AI של האיחוד האירופי, ללא קו שירות ייעודי לישראל, ולכן הוצא; Herzog Fox & Neeman (herzoglaw.co.il) החזיר HTTP 404 בכתובת תחום העיסוק לסייבר־הגנת מידע ופרטיות שנבדקה, והנישה לא ניתנת לאישור ברמת עמוד הבית, ולכן הוצא עד לבדיקה חוזרת; Gornitzky & Co. (gornitzky.com) החזיר HTTP 404 בכתובת תחום העיסוק לסייבר־פרטיות והגנת מידע שנבדקה, ואזכור הנישה בעמוד הבית לא ניתן לאישור, ולכן המשרד מצוטט בסעיף 01 כמחבר מדריך 10 הצעדים לפרקטיקאים ולא נכלל כספק פתרון צד שלישי; Cookiebot / Usercentrics, ComplyCloud, Cyberint, Komrad, ITGRC, Goldfarb Seligman, FBC ו־Gross GKH נשקלו, אך לא העלו עמוד שירות ציבורי לתיקון 13 / קצין הגנת מידע ישראלי בעמוד הבית בתאריך הכתיבה, או שלא היו זמינים לאימות, ולכן כולם הוצאו עד לבדיקה חוזרת. הרשות להגנת הפרטיות — הרגולטור המפרסם את הנחיות תיקון 13 והודעות האכיפה — מוזכרת בסעיף 01 כקובעת הכללים ולא נמנית כפתרון צד שלישי. IAPP, Gornitzky & Co., BigID ו־Safetica מוזכרים גם בסעיף 01 כמקורות ייעוץ ועיתונות מקצועית; BigID ו־Safetica משמשים גם כספקי פתרון משום שמשאבי הקו הראשון שלהם משווקים בעצמם יכולות ספציפיות לתיקון 13.
Report a mistake — or suggest a new solution
Spot a wrong number, dead source link, missing aspect, broken translation? Or know a vendor we should list as a solution? Tell us. The Director re-checks every report and either updates the page or writes back with a reason.
Got it — thank you.
The Director will look at your report on the next research cycle. If you left an email you'll hear back when we either update the page or decide it's not actionable (with a one-paragraph reason).
חברות רשומות — נהלו את ההכללה שלכם. אם אתם אחד הספקים לעיל ומשהו כאן שגוי, חסר או מיושן — או שאתם מעדיפים לא להופיע ברשימה — כתבו אלינו. הסרה תוך 24 שעות; תיקונים תוך 7 ימי עסקים. איננו פונים תחילה לחברות הרשומות; אנו מפרסמים את מה שהשיווק הציבורי שלכם טוען, ומגיבים כשאתם פונים אלינו. דוא"ל contact@aikraft.com.